PANews 5月16日消息，Chainalysis在X平台發文披露THORChain攻擊源追蹤情況，其表示疑似攻擊者相關錢包在實施攻擊THORChain之前已連續數週通過Monero、Hyperliquid和THORChain轉移資金，攻擊者關聯錢包早在四月底時就透過Hyperliquid和Monero隱私橋入金Hyperliquid頭寸，隨後資金被兌換為USDC並轉至Arbitrum，再橋接至以太坊，部分ETH隨後轉至THORChain成為為新加入的節點質押RUNE，該節點被認為是攻擊源。

之後，攻擊者將部分RUNE橋接回以太坊並拆分為四條鏈路，其中一條直通攻擊者，經過中間錢包轉移後，在攻擊前43分鐘向最終接收被盜資金的錢包轉入8 ETH，其他三條鏈路資金則反向流動。 5月14日至15日，這些錢包再次將ETH橋接回Arbitrum，存入Hyperliquid，透過相同隱私橋轉入Monero，最後一筆交易發生在攻擊開始前不到5小時。截至本週五下午，被盜資金暫未動用，但攻擊者已展示其嫻熟的跨鏈洗錢能力，Hyperliquid到Monero路徑可能成為下一步動作。